Nastavení zásad omezení prostoru pro útoky pro zabezpečení koncových bodů v Intune

Podívejte se na nastavení, která můžete nakonfigurovat v profilech pro zásady snížení úrovně útoku v uzlu zabezpečení koncového bodu Intune jako součást zásad zabezpečení koncového bodu.

Platí pro:

  • Windows 11
  • Windows 10

Podporované platformy a profily:

  • Windows 10 a novější – tuto platformu použijte pro zásady, které nasazujete na zařízení spravovaná pomocí Intune.

    • Profil: Izolace aplikací a prohlížečů
    • Profil: Řízení aplikací
    • Profil: Pravidla omezení prostoru pro útoky
    • Profil: Řízení zařízení
    • Profil: Ochrana před zneužitím
    • Profil: Ochrana webu (starší verze Microsoft Edge)
  • Windows 10 a novější (ConfigMgr): Tuto platformu použijte pro zásady, které nasadíte na zařízení spravovaná Configuration Manager.

    • Profil: Exploit Protection(ConfigMgr)(Preview)
    • Profil: Web Protection (ConfigMgr)(Preview)

Omezení prostoru pro útoky (MDM)

Profil izolace aplikace a prohlížeče

Izolace aplikací a prohlížečů

  • Zapnutí ochrany Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Nenakonfigurováno (výchozí) – Ochrana Application Guard v programu Microsoft Defender není nakonfigurovaná pro Microsoft Edge nebo izolovaná Windows prostředí.
    • Povoleno pro Edge – Application Guard otevře neschválené weby ve virtualizovaném kontejneru procházení Hyper-V.
    • Povolené pro izolovaná Windows prostředí – Ochrana Application Guard je zapnutá pro všechny aplikace povolené pro App Guard v rámci Windows.
    • Povoleno pro edge a izolovaná Windows prostředí – Pro oba scénáře je nakonfigurovaná ochrana Application Guard.

    Poznámka

    Pokud nasazujete ochranu Application Guard pro Microsoft Edge prostřednictvím Intune, Windows zásady izolace sítě musí být nakonfigurované jako předpoklad. Izolace sítě může být nakonfigurována prostřednictvím různých profilů, včetně izolace aplikací a kanálů v rámci nastavení izolace sítě Windows.

    Pokud je tato možnost nastavená na Povoleno pro Edge nebo Povoleno pro Edge A izolovaná Windows prostředí, jsou k dispozici následující nastavení, která platí pro Edge:

    • Chování schránky
      CSP: ClipboardSettings

      Zvolte, jaké akce kopírování a vložení jsou povolené z místního počítače a virtuálního prohlížeče Application Guard.

      • Nenakonfigurováno (výchozí)
      • Blokování kopírování a vkládání mezi počítačem a prohlížečem
      • Povolit kopírování a vkládání jenom z prohlížeče do počítače
      • Povolit kopírování a vkládání jenom z počítače do prohlížeče
      • Povolit kopírování a vkládání mezi počítačem a prohlížečem
    • Blokování externího obsahu z webů schválených mimo organizaci
      CSP: BlockNonEnterpriseContent

      • Nenakonfigurováno (výchozí)
      • Ano – Blokovat načítání obsahu z neschválené webové stránky
    • Shromažďování protokolů pro události, ke kterým dochází v rámci relace procházení ochrany Application Guard
      CSP: AuditApplicationGuard

      • Nenakonfigurováno (výchozí)
      • Ano – Shromážděte protokoly událostí, ke kterým dochází v rámci virtuální relace procházení služby Application Guard.
    • Povolit ukládání dat prohlížeče generovaných uživatelem
      CSP: AllowPersistence

      • Nenakonfigurováno (výchozí)
      • Ano – Povolí ukládání uživatelských dat vytvořených během virtuální relace procházení ochrany Application Guard. Mezi příklady uživatelských dat patří hesla, oblíbené položky a soubory cookie.
    • Povolení hardwarové akcelerace grafiky
      CSP: AllowVirtualGPU

      • Nenakonfigurováno (výchozí)
      • Ano – V rámci virtuální relace procházení application guard použijte jednotku pro zpracování virtuální grafiky k rychlejšímu načítání webů náročných na grafiku.
    • Povolit uživatelům stahovat soubory na hostitele
      CSP: SaveFilesToHost

      • Nenakonfigurováno (výchozí)
      • Ano – Umožňuje uživatelům stahovat soubory z virtualizovaného prohlížeče do hostitelského operačního systému.
    • Application Guard umožňuje přístup k fotoaparátu a mikrofonu
      CSP: AllowCameraMicrophoneRedirection

      • Nenakonfigurováno (výchozí) – Aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender nemají přístup k fotoaparátu a mikrofonu na zařízení uživatele.
      • Ano – Aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender mohou přistupovat k fotoaparátu a mikrofonu na zařízení uživatele.
      • Ne – Aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender nemají přístup k fotoaparátu a mikrofonu na zařízení uživatele. Toto je stejné chování jako nenakonfigurováno.
  • Ochrana Application Guard umožňuje tisk na místní tiskárny

    • Nenakonfigurováno (výchozí)
    • Ano – Povolí tisk na místní tiskárny.
  • Ochrana Application Guard umožňuje tisk do síťových tiskáren

    • Nenakonfigurováno (výchozí)
    • Ano – Povolí tisk na síťové tiskárny.
  • Ochrana Application Guard umožňuje tisk do PDF

    • Nenakonfigurováno (výchozí)
    • Ano- Povolit tisk do PDF.
  • Ochrana Application Guard umožňuje tisk do XPS

    • Nenakonfigurováno (výchozí)
    • Ano - - Povolit tisk do XPS.
  • Application Guard umožňuje používat kořenové certifikační autority ze zařízení uživatele.
    CSP: CertificateThumbprints

    Nakonfigurujte kryptografické otisky certifikátu tak, aby automaticky přenesou odpovídající kořenový certifikát do kontejneru Ochrana Application Guard v programu Microsoft Defender.

    Pokud chcete přidat kryptografické otisky po jednom, vyberte Přidat. Pomocí importu můžete zadat .CSV soubor, který obsahuje více položek kryptografického otisku, které jsou všechny přidány do profilu současně. Při použití souboru .CSV musí být každý kryptografický otisk oddělený čárkou. Příklad: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Všechny položky uvedené v profilu jsou aktivní. Aby byla položka kryptografického otisku aktivní, nemusíte zaškrtnout políčko. Místo toho pomocí zaškrtávacích políček můžete spravovat položky, které byly přidány do profilu. Můžete například zaškrtnout políčko jedné nebo více položek kryptografického otisku certifikátu a pak tyto položky z profilu odstranit jedinou akcí.

  • Windows zásady izolace sítě

    • Nenakonfigurováno (výchozí)
    • Ano – Nakonfigurujte Windows zásady izolace sítě.

    Pokud je nastavená možnost Ano, můžete nakonfigurovat následující nastavení:

    • Rozsahy IP adres
      Rozbalte rozevírací seznam, vyberte Přidat a zadejte nižší adresu a pak horní adresu.

    • Cloudové prostředky
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte IP adresu nebo plně kvalifikovaný název domény a proxy server.

    • Síťové domény
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte síťové domény.

    • Proxy servery
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte proxy servery.

    • Interní proxy servery
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte interní proxy servery.

    • Neutrální prostředky
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte neutrální prostředky.

    • Zakázání automatického zjišťování jiných podnikových proxy serverů

      • Nenakonfigurováno (výchozí)
      • Ano – Zakažte automatické zjišťování jiných podnikových proxy serverů.
    • Zákaz automatického zjišťování jiných rozsahů podnikových IP adres

      • Nenakonfigurováno (výchozí)
      • Ano – Zakažte automatické zjišťování jiných rozsahů podnikových IP adres.

Profil řízení aplikace

Řízení aplikací v programu Microsoft Defender

  • Řízení aplikací v App Lockeru
    CSP: AppLocker

    • Nenakonfigurováno (výchozí)
    • Vynucení komponent a aplikací pro Store
    • Audit komponent a aplikací pro Store
    • Vynucování komponent, aplikací pro Store a SmartLockeru
    • Součásti auditu, aplikace pro Store a SmartLocker
  • Blokování ignorování upozornění filtru SmartScreen uživatelům
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Nenakonfigurováno (výchozí) – Uživatelé můžou ignorovat upozornění filtru SmartScreen pro soubory a škodlivé aplikace.
    • Ano – filtr SmartScreen je povolený a uživatelé nemůžou obejít upozornění na soubory nebo škodlivé aplikace.
  • Zapnutí filtru Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Nenakonfigurováno (výchozí) – Vraťte nastavení na výchozí Windows, což je povolení filtru SmartScreen, ale uživatelé můžou toto nastavení změnit. Pokud chcete filtr SmartScreen zakázat, použijte vlastní identifikátor URI.
    • Ano – Vynuťte použití filtru SmartScreen pro všechny uživatele.

Profil pravidel omezení prostoru pro útoky

Pravidla omezení prostoru pro útoky

Poznámka

Tato část podrobně popisuje nastavení v profilech pravidla omezení počtu útoků na povrch vytvořených před 5. dubnem 2022. Profily vytvořené po daném datu používají nový formát nastavení, který najdete v katalogu Nastavení. I když už nemůžete vytvářet nové instance původního profilu, můžete pokračovat v úpravách a používání existujících profilů.

  • Blokování trvalosti prostřednictvím odběru událostí služby WMI
    Omezení prostorů pro útoky pomocí pravidel omezení prostoru pro útoky

    Toto pravidlo omezení prostoru útoku (ASR) se řídí pomocí následujícího guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    Toto pravidlo brání malwaru v zneužití služby WMI za účelem dosažení trvalosti na zařízení. Hrozby bez souborů využívají různé taktiky, aby zůstaly skryté, aby se zabránilo tomu, že se zobrazí v systému souborů, a aby získaly pravidelnou kontrolu nad spouštěním. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté a trvalost není blokovaná.
    • Blok – Trvalost prostřednictvím služby WMI je blokována.
    • Audit – Vyhodnoťte, jak toto pravidlo ovlivní vaši organizaci, pokud je povolené (nastavené na Blokovat).
    • Zakázat – Vypněte toto pravidlo. Trvalost není blokována.

    Další informace o tomto nastavení najdete v tématu Blokování trvalosti prostřednictvím odběru událostí služby WMI.

  • Blokování krádeže přihlašovacích údajů ze subsystému Windows místní autority zabezpečení (lsass.exe)
    Ochrana zařízení před zneužitím

    Toto pravidlo omezení prostoru útoku (ASR) se řídí pomocí následujícího guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Definovaný uživatelem
    • Povolit – pokusy o krádež přihlašovacích údajů prostřednictvím lsass.exe jsou blokovány.
    • Režim auditování – Uživatelé nejsou zablokovaní z nebezpečných domén a místo toho se vyvolají Windows události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
  • Blokování vytváření podřízených procesů v Adobe Readeru
    Omezení prostorů pro útoky pomocí pravidel omezení prostoru pro útoky

    Toto pravidlo ASR se řídí pomocí následujícího guid: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Nenakonfigurováno (výchozí) – výchozí Windows je neblokovat vytváření podřízených procesů.
    • Definovaný uživatelem
    • Povolit – Adobe Readeru se zablokuje vytváření podřízených procesů.
    • Režim auditování – Windows události jsou vyvolány místo blokování podřízených procesů.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
  • Blokování vkládání kódu do jiných procesů Office aplikacím
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Office aplikacím se zablokuje vkládání kódu do jiných procesů.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování vytváření spustitelného obsahu v aplikacích Office
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: 3B576869-A4EC-4529-8536-B80A7769E899

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Office aplikacím se zablokuje vytváření spustitelného obsahu.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování vytváření podřízených procesů u všech Office aplikací
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Office aplikacím je zablokované vytváření podřízených procesů.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování volání rozhraní Win32 API z makra Office
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Office maker je blokováno používání volání rozhraní API Win32.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování Office komunikačních aplikací v vytváření podřízených procesů
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Nenakonfigurováno (výchozí) – obnoví se výchozí Windows, což není blokování vytváření podřízených procesů.
    • Definovaný uživatelem
    • Povolit – Office komunikačním aplikacím se zablokuje vytváření podřízených procesů.
    • Režim auditování – Windows události jsou vyvolány místo blokování podřízených procesů.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
  • Blokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Defender blokuje spouštění obfuskovaných skriptů.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: D3E037E1-3EB8-44C8-A917-57927947596D

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Defender blokuje spouštění javascriptových nebo VBScriptových souborů stažených z internetu.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blokovat – Vytváření procesů příkazy PSExec nebo WMI je blokováno.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Nedůvěryhodné a nepodepsané procesy, které běží z jednotky USB, jsou blokované.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokovat spouštění spustitelných souborů, pokud nesplňují kritéria prevalence, věku nebo důvěryhodného seznamu
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blokování
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Blokování stahování spustitelného obsahu z e-mailových a webových klientů
    Ochrana zařízení před zneužitím

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Blok – Spustitelný obsah stažený z e-mailových a webových klientů je zablokovaný.
    • Režim auditování – Windows se místo blokování vyvolávají události.
    • Upozornit – U Windows 10 verze 1809 nebo novější a Windows 11 obdrží uživatel zařízení zprávu, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – Toto nastavení je vypnuté.
  • Použití pokročilé ochrany proti ransomwaru
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího guid: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je vypnuté.
    • Definovaný uživatelem
    • Povolit
    • Režim auditování – – Windows se místo blokování vyvolávají události.
  • Povolení ochrany složek
    CSP: EnableControlledFolderAccess

    • Nenakonfigurováno (výchozí) – Toto nastavení se vrátí na výchozí hodnotu, což není čtení ani zápis, které se zablokují.
    • Povolit – U nedůvěryhodných aplikací se Defender pokusí upravit nebo odstranit soubory v chráněných složkách nebo zapisovat do sektorů disku. Defender automaticky určuje, které aplikace je možné považovat za důvěryhodné. Případně můžete definovat vlastní seznam důvěryhodných aplikací.
    • Režim auditování – Windows události se vyvolávají, když nedůvěryhodné aplikace přistupují k řízeným složkám, ale nevynucují se žádné bloky.
    • Blokovat úpravy disku – Zablokují se pouze pokusy o zápis do sektorů disku.
    • Auditovat úpravy disku – Windows události jsou vyvolány místo blokování pokusů o zápis do sektorů disku.
  • Seznam dalších složek, které je potřeba chránit
    CSP: ControlledFolderAccessProtectedFolders

    Definujte seznam umístění disků, která budou chráněna před nedůvěryhodnými aplikacemi.

  • Seznam aplikací, které mají přístup k chráněným složkám
    CSP: ControlledFolderAccessAllowedApplications

    Definujte seznam aplikací, které mají přístup ke čtení a zápisu do kontrolovaných umístění.

  • Vyloučení souborů a cest z pravidel omezení prostoru pro útoky
    CSP: AttackSurfaceReductionOnlyExclusions

    Rozbalte rozevírací seznam a pak výběrem možnosti Přidat definujte cestu k souboru nebo složce, která se má vyloučit z pravidel omezení prostoru pro útoky.

Profil ovládacího prvku zařízení

Řízení zařízení

  • Povolit instalaci hardwarového zařízení podle identifikátorů zařízení

    • Nenakonfigurováno (výchozí)
    • Ano – Windows může nainstalovat nebo aktualizovat libovolné zařízení, jehož technologie Plug and Play ID hardwaru nebo kompatibilní ID se zobrazí v seznamu, který vytvoříte, pokud instalaci nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Seznam povolených položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.
  • Blokování instalace hardwarového zařízení podle identifikátorů zařízení
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Nenakonfigurováno (výchozí)
    • Ano – Zadejte seznam technologie Plug and Play ID hardwaru a kompatibilních ID pro zařízení, u kterých není možné instalovat Windows. Tato zásada má přednost před všemi ostatními nastaveními zásad, které Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno (výchozí)
    • Seznam blokovaných položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Povolit instalaci hardwarového zařízení podle třídy nastavení

    • Nenakonfigurováno (výchozí)
    • Ano – Windows může nainstalovat nebo aktualizovat ovladače zařízení, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte, pokud instalaci nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Seznam povolených položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.
  • Blokování instalace hardwarového zařízení pomocí tříd nastavení
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Nenakonfigurováno (výchozí)
    • Ano – Zadejte seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro ovladače zařízení, které Windows není možné instalovat. Toto nastavení zásad má přednost před všemi ostatními nastaveními zásad, které Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno (výchozí)
    • Seznam blokovaných položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Povolit instalaci hardwarového zařízení podle identifikátorů instancí zařízení

    • Nenakonfigurováno (výchozí)
    • Ano – Windows může nainstalovat nebo aktualizovat libovolné zařízení, jehož ID instance technologie Plug and Play zařízení se zobrazí v seznamu, který vytvoříte, pokud instalaci nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Seznam povolených položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.
  • Blokování instalace hardwarového zařízení podle identifikátorů instancí zařízení
    Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.

    • Nenakonfigurováno (výchozí)
    • Ano – Zadejte seznam technologie Plug and Play ID hardwaru a kompatibilních ID pro zařízení, u kterých není možné instalovat Windows. Tato zásada má přednost před všemi ostatními nastaveními zásad, které Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, nastavení zásad ovlivní přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud je nastavená možnost Ano , můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno (výchozí)
    • Seznam blokovaných položek – Pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Blokování přístupu pro zápis do vyměnitelného úložiště
    CSP: RemovableDiskDenyWriteAccess

    • Nenakonfigurováno (výchozí)
    • Ano – Přístup k zápisu do vyměnitelného úložiště byl odepřen.
    • Ne – přístup pro zápis je povolený.
  • Kontrola vyměnitelných jednotek během úplné kontroly
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Nenakonfigurováno (výchozí) – nastavení se vrátí do výchozího nastavení klienta, které prohledá vyměnitelné jednotky, ale uživatel může tuto kontrolu zakázat.
    • Ano – Při úplném prohledávání se prohledávají vyměnitelné jednotky (například USB flash disky).
  • Blokování přímého přístupu k paměti
    CSP: DataProtection/AllowDirectMemoryAccess

    Toto nastavení zásad se vynucuje jenom v případě, že je povolené šifrování BitLockerem nebo zařízením.

    • Nenakonfigurováno (výchozí)
    • Ano – zablokujte přímý přístup do paměti (DMA) pro všechny zahřívatelné podřízené porty PCI, dokud se uživatel přihlásí k Windows. Po přihlášení uživatele Windows vytvoří výčet zařízení PCI připojených k portům PCI konektoru hostitele. Pokaždé, když uživatel uzamkne počítač, je DMA blokován na portech PCI s horkým konektorem bez podřízených zařízení, dokud se uživatel znovu nepřihlásí. Zařízení, která už byla vyčíslena při odemknutí počítače, budou dál fungovat, dokud se neodpojí.
  • Výčet externích zařízení nekompatibilních s ochranou DMA jádra
    CSP: DmaGuard/DeviceEnumerationPolicy

    Tato zásada může poskytovat další zabezpečení proti externím zařízením podporujícím DMA. Umožňuje větší kontrolu nad výčtem externích zařízení s podporou DMA nekompatibilních s přemapováním DMA/ izolací paměti zařízení a sandboxem.

    Tato zásada se projeví pouze v případě, že firmware systému podporuje a povoluje ochranu DMA jádra. Kernel DMA Protection je funkce platformy, kterou musí systém podporovat v době výroby. Pokud chcete zkontrolovat, jestli systém podporuje ochranu DMA jádra, zkontrolujte pole Ochrana DMA jádra na stránce Souhrn MSINFO32.exe.

    • Nenakonfigurováno – (výchozí)
    • Blokovat vše
    • Povolit vše
  • Blokování připojení Bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Nenakonfigurováno (výchozí)
    • Ano – Blokovat připojení Bluetooth k zařízení a z tohoto zařízení.
  • Blokování zjistitelnosti bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání zjišťování zařízení jinými zařízeními s podporou Bluetooth.
  • Blokování předběžného párování bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání automatickému párování konkrétních Bluetooth zařízení s hostitelským zařízením.
  • Blokovat inzerci bluetooth
    CSP: Bluetooth/AllowAdvertising

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání zařízení v odesílání Bluetooth reklam.
  • Blokování proximálních připojení Bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections Zablokuje uživatelům používání páru Swift a dalších scénářů založených na blízkosti.

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání uživateli zařízení v používání swiftového páru a dalších scénářů založených na blízkosti.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth povolené služby
    CSP: Bluetooth/ServicesAllowedList.
    Další informace o seznamu služeb najdete v průvodci používáním seznamu ServicesAllowedList.

    • Přidat – Zadejte povolené Bluetooth služby a profily jako šestnáctkové řetězce, například {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Import – Import souboru .csv, který obsahuje seznam služeb a profilů Bluetooth, jako jsou šestnáctkové řetězce, například {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
  • Vyměnitelné úložiště
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Blokovat (výchozí) – Zabránit uživatelům v používání externích úložných zařízení, jako jsou karty SD se zařízením.
    • Nenakonfigurováno
  • Připojení USB (pouze HoloLens)
    CSP: Připojení / AllowUSBConnection

    • Blokovat – Zabránit použití připojení USB mezi zařízením a počítačem k synchronizaci souborů nebo použití vývojářských nástrojů k nasazení nebo ladění aplikací. Nabíjení USB není ovlivněno.
    • Nenakonfigurováno (výchozí)

Profil ochrany před zneužitím

Ochrana před zneužitím

Poznámka

Tato část podrobně popisuje nastavení, která najdete v profilech ochrany před zneužitím vytvořených před 5. dubnem 2022. Profily vytvořené po daném datu používají nový formát nastavení, který najdete v katalogu Nastavení. I když už nemůžete vytvářet nové instance původního profilu, můžete pokračovat v úpravách a používání existujících profilů.

  • Upload XML
    CSP: ExploitProtectionSettings

    Umožňuje správci IT vysunout konfiguraci představující požadované možnosti omezení rizik pro systém a aplikaci do všech zařízení v organizaci. Konfigurace je reprezentována souborem XML. Ochrana před zneužitím může pomoct chránit zařízení před malwarem, která využívají zneužití k šíření a infikování. Pomocí aplikace Zabezpečení Windows nebo PowerShellu vytvoříte sadu omezení rizik (označovanou jako konfigurace). Tuto konfiguraci pak můžete exportovat jako soubor XML a sdílet ji s několika počítači ve vaší síti, aby všechny měly stejnou sadu nastavení omezení rizik. Můžete také převést a importovat existující konfigurační soubor XML EMET do souboru XML konfigurace ochrany zneužití.

    Zvolte Vybrat soubor XML, zadejte nahrání souboru XML a klikněte na Vybrat.

    • Nenakonfigurováno (výchozí)
    • Ano
  • Blokování úprav rozhraní ochrany Exploit Guard uživatelům
    CSP: DisallowExploitProtectionOverride

    • Nenakonfigurováno (výchozí) – Místní uživatelé můžou provádět změny v oblasti nastavení ochrany před zneužitím.
    • Ano – Zabránit uživatelům v provádění změn v oblasti nastavení ochrany před zneužitím v Centrum zabezpečení v programu Microsoft Defender.

Profil ochrany webu (starší verze Microsoft Edge)

Web Protection (starší verze Microsoft Edge)

  • Povolení ochrany sítě
    CSP: EnableNetworkProtection

    • Nenakonfigurováno (výchozí) – nastavení se vrátí na výchozí Windows, což je zakázané.
    • Definovaný uživatelem
    • Povolit – Ochrana sítě je povolená pro všechny uživatele v systému.
    • Režim auditování – Uživatelé nejsou zablokovaní z nebezpečných domén a místo toho se vyvolají Windows události.
  • Vyžadovat filtr SmartScreen pro Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Ano – Filtr SmartScreen slouží k ochraně uživatelů před možnými útoky phishing a škodlivým softwarem.
    • Nenakonfigurováno (výchozí)
  • Blokování škodlivého přístupu k webu
    CSP: Browser/PreventSmartScreenPromptOverride

    • Ano – Zablokujte uživatelům ignorování upozornění filtru filtr SmartScreen v programu Microsoft Defender a zablokujte jim přechod na web.
    • Nenakonfigurováno (výchozí)
  • Blokování neověřeného stahování souborů
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Ano – Zablokujte uživatelům ignorování upozornění filtru filtr SmartScreen v programu Microsoft Defender a zablokujte jim stahování neověřených souborů.
    • Nenakonfigurováno (výchozí)

Snížení prostoru pro útoky (ConfigMgr)

Profil exploit protection (ConfigMgr)(Preview)

Ochrana proti zneužití

  • Upload XML
    CSP: ExploitProtectionSettings

    Umožňuje správci IT vysunout konfiguraci představující požadované možnosti omezení rizik pro systém a aplikaci do všech zařízení v organizaci. Konfigurace je reprezentována souborem XML. Ochrana před zneužitím může pomoct chránit zařízení před malwarem, která využívají zneužití k šíření a infikování. Pomocí aplikace Zabezpečení Windows nebo PowerShellu vytvoříte sadu omezení rizik (označovanou jako konfigurace). Tuto konfiguraci pak můžete exportovat jako soubor XML a sdílet ji s několika počítači ve vaší síti, aby všechny měly stejnou sadu nastavení omezení rizik. Můžete také převést a importovat existující konfigurační soubor XML EMET do souboru XML konfigurace ochrany zneužití.

    Zvolte Vybrat soubor XML, zadejte nahrání souboru XML a klikněte na Vybrat.

  • Zakázat přepsání ochrany před zneužitím
    CSP: DisallowExploitProtectionOverride

    • Nenakonfigurováno (výchozí)
    • (Zakázat) Místní uživatelé můžou provádět změny v oblasti nastavení ochrany před zneužitím.
    • (Povolit) Místní uživatelé nemůžou provádět změny v oblasti nastavení ochrany před zneužitím

Profil Web Protection (ConfigMgr)(Preview)

Ochrana webu

Další kroky

Zásady zabezpečení koncových bodů pro ASR